视频: Learn Finnish: Pronouncing Å, Ä, Ö (十一月 2024)
SSL是安全套接字层的缩写,是将S放入HTTPS的原因。 精明的用户知道在网站上输入任何敏感信息之前,先在地址栏中查找HTTPS。 我们的SecurityWatch经常发布严苛的Android应用程序,这些应用程序无需使用SSL即可传输个人数据。 las,最近发现的“ Heartbleed”漏洞使攻击者可以拦截受SSL保护的通信。
该错误被称为Heartbleed,是因为它搭载在称为心跳的功能上,会影响广泛使用的OpenSSL密码库的特定版本。 根据用于报告Heartbleed的网站的说法,使用OpenSSL的两个最大的开源Web服务器的合并市场份额超过66%。 OpenSSL还用于保护电子邮件,聊天服务器,VPN和“各种客户端软件”。 到处都是。
真的很糟糕
利用此漏洞的攻击者可以获得读取受影响的服务器内存中存储的数据的能力,包括所有重要的加密密钥。 也可以捕获用户的名称和密码以及加密内容的总数。 根据该站点的说法,“这使攻击者可以窃听通信,直接从服务和用户窃取数据并冒充服务和用户。”
该网站继续指出,捕获秘密密钥“使攻击者能够解密到受保护服务的过去和将来的流量。” 唯一的解决方案是将OpenSSL更新到最新版本,撤销被盗的密钥,然后发出新的密钥。 即使这样,如果攻击者过去拦截并存储了加密的流量,则捕获的密钥将对其解密。
可以做什么
这个错误是由两个不同的小组分别发现的,这两个小组来自Codenomicon和Google安全研究人员。 他们强烈建议OpenSSL发布一个完全禁用心跳功能的版本。 随着该新版本的推出,可以检测到易受攻击的安装,因为只有它们会响应心跳信号,从而允许“大规模协调响应,以到达易受攻击的服务的所有者。”
安全界正在认真对待这个问题。 例如,您可以在US-CERT(美国计算机应急准备小组)网站上找到有关此说明的注释。 您可以在此处测试自己的服务器,以查看它们是否容易受到攻击。
las,这个故事没有幸福的结局。 该攻击没有留下任何痕迹,因此即使在网站解决了该问题之后,也无法确定骗子是否利用了私人数据。 根据Heartbleed网站的说法,IPS(入侵防御系统)很难将攻击与常规加密流量区分开。 我不知道这个故事是如何结束的。 如果有更多需要说明的地方,我会报告。
